儘管有高明的策略、完善的管理制度,但最終還是需要有適當的執行工具,才不致流於空談,這部分就得借助各項IT工具來達成。
《資安人雜誌》於7月25/27兩天,分別於台北、新竹舉辦兩場針對營業秘密保護議題的研討會,本文方向採以由資安廠商們說明如何透過自家防護技術與設備來協助客戶端達到營業秘密保護的目的。
以虛擬化為核心 打造數位安全工作空間
Citrix Systems認為高科技與製造業的資訊安全在如何確保應用程式與資料的安全,並透過身分和存取權限、網路安全、應用程式安全、資料安全與監控回應五大面向來完成。這不但涵蓋了以往機密性、完整性與可用性的資安要求,也包括了現今本地與雲端的IT基礎架構。接著更以Citrix的虛擬化技術為核心,提出了「數位安全工作空間」(Workspace Suite)的完整解決方案。整合XenDesktop、XenApp、XenMobile、ShareFile、NetScaler等產品,將使用者桌面與應用程式虛擬化,搭配網路閘道的單一身分驗證來進行安全的存取控制,讓在外的行動工作者能透過手機、平版等多種行動裝置來執行企業內部的應用程式,同時兼顧行動工作的便利與安全。
Citrix Systems台灣區總經理潘先國強調,Citrix提出的數位安全工作空間「就是要讓設備、人、業務三者動起來」。且在提供使者用多樣化的設備,與隨處存取應用程式的同時,重要資料依舊集中存放在企業內部的機房中,以「研發資料不落地」的方式來確保重要的營業秘密不外洩。
從外洩管道防止洩密
根據2017年賽門鐵克網路分析報告中指出,企業資料外洩管道中由內部人員外洩佔19.2%,因員工疏忽所造成的資料遺失為19.3%,駭客或惡意程式入侵所導致為36.2%。因此賽門鐵克從資料遺失的管道來談此議題,並針對上述機密外洩的原因提出伺服器安全強化、資料外洩防護(DLP)、資料加密,與網路側錄4種不同解決方案。
以營業秘密案件中最常發生的內賊外洩情況,賽門鐵克DLP中包含了網路閘道、端點、伺服器掃描與雲端4大模組,像透過網路閘道可阻擋Email傳送機密,而雲端模組則可防止機密資料外洩至雲端硬碟。台灣賽門鐵克首席技術顧問張士龍以端點DLP為例,可用以防止員工將機密資料複製到USB裝置上,或是從端點複製機密資料等行為。除了主動的阻擋外洩行為外,張士龍也提醒,資安事件的處理還需包括事後的追溯、調查與分析,因此最後一層防護就是網路行為側錄,除了還原分析事件外,還能針對可疑有害的行為進行告警,做為未阻擋外洩情況下的最後一道防線。
使用企業專屬溝通平台
現在許多公司因為便宜行事的心態,使用LINE做為彼此溝通的工具;如果發生將機密資料誤傳群組的情況,該如何回收此機密?成立超過十年的互動資通,主要專注企業工作溝通平台的建立。互動資通行銷長何瑋表示,社交型即時通訊軟體用於日常工作上容易有資安疑慮,所以企業溝通管理安全的第一步,就是使用專屬獨立的通訊協作平台。
以互動資通team+為例,採用100%私雲建置,讓企業能有完整的後台管理機制,除了能執行詳細的的權限控管外,還能遠端刪除App內容。與社交型App不同的是,企業級的通訊協作平台不只是「人與人」的溝通,還要能做到「系統與人」的訊息傳遞。例如team+提供多種的API界面,以整合ERP、電子公文、POS收銀等內部系統,將現有的E化系統進一步升級成M化,讓重要訊息隨時傳送到人員裝置上,加強協作效率,並支援網路電話與多人視訊連線,節省電信費用。除了企業自行建置方式外,互動資通也有提供代管服務的方式,讓企業能不用自行購置維護軟硬體,以便加速導入企業即時協作平台。
建構智慧安全免疫系統為最終目標
台灣IBM企業資訊安全事業處資深技術顧問曾心天認為,現今資安最大的挑戰是回應速度,而分析將成為未來發展的重點。就營業秘密外洩案例來看,來自內部威脅已大於外部入侵行為;且因應網路邊界模糊的趨勢,IBM提出現在企業資安的防護重點應從保護安全邊界轉變成保護核心資料。他建議企業可從了解、評估、行動3步驟來實施資料保護,逐步完成基礎、專家與最適化三階段成熟模型,並以建構一個智慧的安全免疫系統為最終目標。
以資料保護為例,基礎要能做到機敏資料的分類與加密,而專家階段要能做到機敏資料的監控與外洩防護,最後就是依企業的使用需求進行資料的管理。以IBM Guardium來說,不但能分辨出機密資料,並進而加以保護,還能因應企業不同的IT環境需求,發掘出異常存取行為。同時能將這樣的資料防護能力延伸到AWS、Azure、Google等其他的雲端服務廠商,並支援OpenStack、VMware雲端基礎架構,以做到全方位的資料保護。
身分驗證為Fintech重要基礎
近幾年全球經濟吹起一股Fintech(金融科技)熱潮,讓傳統金融業透過IT技術的轉型帶給消費者全新的服務體驗。2016年我國金管會所發佈的金融科技白皮書中則指出「身分驗證」是發展金融科技不可或缺的資安基礎工程。其實不只是金融科技,現今許多的IT的應用都需仰賴身分驗證機制才能實現。相較之下,以往的固定式密碼雖然簡便,卻存在管理與安全上的潛在風險,因此包含生物辨識在內的多因素驗證已成為未來資料存取控制上的發展趨勢。
Micro Focus資深身分安全架構師Nick Lu以自家的單一多因素驗證管理平台為例,使用者只需下載App後,就可透過掃描QR code的方式來進行手機認證,即便在無法聯結認證伺服器時,也能改以OTP動態密碼的方式進行登入。除了多因素認證外,Micro Focus主要優勢在於提供企業一個可跨不同平台的集中式身分驗證中心,以符合現今企業大量使用雲端服務的需求。透過SAML,讓使用者在登入雲端系統時轉向企業內部進行身分驗證,避免公雲存放密碼疑慮的同時,也能達到多因素與SSO單一認證的需求,兼顧存取的安全與便利。
自動化大數據分析平台
面對不斷的網路威脅,《資安人雜誌》總召集人侍家驊先生相信未來的資安防禦勢必得仰賴大數據分析,而要進行大數據分析就絕對要走向自動化,才能有效縮短回應時間。華電聯網資通產品及資安服務處資深協理楊仁吉提到,早期企業資安防護,不外乎買個防火牆,頂多再加個IPS設備就足以應付。但現在不但有網路備援系統,還加上各種的資安防護設備與監控機制,但如果構築縱深防禦的各項機制無法進行整合運作,依然會遭駭客逐一滲透攻擊。
楊仁吉強調,資安一定要做到一件事:看的到,才能管的到。因此華電聯網開發出一個能進行巨量分析的平台,以收容不同設備的log,透過Big Data技術將所有資料進行關連式分析,將各個設備串接在一起,成為真正緊密的防禦機制,並提供視覺化的中央管理平台以加速事件回應能力。
對機密資料保護,各家廠商會因其技術優勢的不同提出各自的防護策略,甚至組合成一套「完整解決方案」。但企業還是得考量自身需求,像產業特性、IT環境等差異,才評估出最適合自己的產品。